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@ Die Erfindung betrifft ein Verfahren und eine Einrich- 
tung zur gesicherten Verarbeitung und/oder Ubertragung 
von digitalen Daten, insbesondere bei vernetzten Compu- 
tersystemen, wobet in zumindest ein Computersystem 
eingehende Daten vor der Weiterbenutzung innerhalb 
des Compute rsystems einem kryptographischen Verfah- 
ren unterzogen werden. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren zur gesicherten Ver- 
arbeitung beziehungsweise Ubertragung digitaler Daten, 
insbesondere zur Ubertragung vertraulicher Daten in ver- 
netzten Computersystemen. Weiterhin betrifft die Erfindung 
eine Einrichtung zur vorteilhaften Durchfuhrung des erfin- 
dungsgemaBen Verfahrens. 

In vielen Bereichen des taglichen Lebens wird heutzutage 
der Austausch digitaler Daten uber vernetzte Computersy- 
stemc betrieben, Inzwischen gewinnt auch der Zahlungsver- 
kehr unter Benutzung ofFener Computemetze, wie beispiels- 
weise dem Internet, zunehmend an Bedeutung. Da die Da- 
tenstrome, insbesondere in ofFenen Netzen wie dem Inter- 
net, abgehort werden konnen, entsteht das Problem, vertrau- 
liche Daten bei der tjbennittlung vor unbefugtem Einblick 
zu schutzen, also die Vertraulichkeit der ubertragenen Daten 
herzustellen. 

Weiterhin muB die Herkunft der Daten, also die Authenti- 
zitat, gesichert sein und schiieBlich mussen die Daten vor 
Manipulation geschutzt sein, also deren Integritat gesichert 
sein. 

ZurLosung dieses Problems ist eine groBe Anzahl an Ver- 
fahren bekannt, mit denen die Vertraulichkeit, Integritat 
bzw. Authentizitat der ubertragenen Daten gewahrleistet 
werden kann. Hier sind beispielsweise der sog. Kerberos®- 
Authentifikationsdienst, das symmetrische Data-Encryp- 
tion-Standard- Verfahren (DES®) und dessen Abwandlungen 
oder auch die asymmetrischen Standard-Public-Key- Ver- 
fahren, wie zum Beispiel RSA® oder Diffie-Hellmann, zu 
nennen. 

Diese bekannten Verfahren wurden bisher jedoch nur fur 
die Datenubertragung zwischen den einzelnen Computersy- 
stemen eines Computernetzwerks angewendet. Damit kann 
zwar eine gesicherte Datenubertragung auf dem Computer- 
netz selbst gewahrleistet werden, ein Angriff auf vertrauli- 
che Daten, insbesondere durch auf dem Rechner vorhan- 
dene, unbefugt auf die vertraulichen Daten zugreifende Pro- 
gramme wie Viren oder sog. Trojanische Pferde ist inner- 
halb des einzelnen Computersystems jedoch nach wie vor 
moglich. Die auf diese Weise unbefugt gewonnenen Daten 
konnen anschlieBend, evtl. auch zu einem spateren Zeit- 
punkt, uber das Netz verschickt und so zentral gesammelt 
und ausgewertet werden. 

Um das Abfragen einer Tastatureingabe, insbesondere ei- 
nes uber die Tastatur eingegebenen PaBworts durch unbe- 
fugte Viren oder Trojanische Pferde auszuschlieBen wird 
vereinzelt eine PaBworteingabe mittels Mausbewegungen 
uber eine am Bildschirm dargestellte Tastatur durchgefuhrt. 
Jedoch besteht auch hier das Problem, daB die Mausbewe- 
gungen durch unbefugte Mittel abgefragt werden konnen. 

Aufgabe der Erfindung ist es deshalb, ein Verfahren sowie 
eine vorteilhafte Einrichtung zur Durchfuhrung des Verfah- 
rens vorzuschlagen, die die Sicherheit sensitiver Daten, ins- 
besondere deren Vertraulichkeit und Integritat, auch inner- 
haib des Computersystems gewahrleisten. 

Die Aufgabe wird dadurch gelost, daB die in das Compu- 
tersystem eingehenden Daten vor der Weiterbenutzung, also 
beispielweisc Weiterverarbeitung in einem Programm, Zwi- 
schenspeicherung im Arbeitsspeicher oder Weiterleiten an 
ein anderes Computersystem, einem kryptographischen Ver- 
fahren unterzogen werden, so daB die Daten innerhalb des 
bzw. der Computersysteme in kryptographisch verschlussel- 
ter Form vorliegen. Dabei ist es vorteilhaft das kryptogra- 
phische Verfahren moglichst fruhzeitig auf die eingehenden 
Daten anzuwenden. Es ist unerheblich, ob die Verschlusse- 
lung in einer externen Komponente, einer internen Kompo- 
nente, betriebssystemseitig, beispielsweise durch Anpas- 



sung der Geratetreiber (also der Umsetzung eines kompo- 
nentenspezifischen Formats in ein standardisiertes Format 
einer Computereinheit) oder unmittelbar danach, pro- 
grammtechnisch, schaltungstechnisch oder als Kombination 

5 daraus, erfoigt. Vorteilhaft bei einer betriebssystemseitigen 
Anwendung des Verschlusselungsverfahrens ist, daB bereits 
vorhandene Komponenten (die Hardware) weiter verwendet 
werden konnen. Zu bedenken ist dabei ferner, daB um so 
mehr geratespezifische Eigenheiten berucksichtigt werden 

io mussen, je friiher und damit je naher an der Komponente das 
Verschlusselungsverfahren angewendet wird, so daB es un- 
ter Umstanden sinnvoll sein kann, die Verschliisselung der 
ankommenden Daten erst zu einem spateren Zeitpunkt, bei- 
spielsweise erst im AnschluB an den Geratetreiber, vorzu- 

15 nehmen. In jedem Fall wird der unbefugte ZugrifF auf si- 
cherheitsrelevante Daten, beispielsweise durch Viren oder 
Trojanische Pferde, dadurch erschwert, daB die Daten inner- 
halb des Computersystems nur noch in kryptographisch ver- 
schlusselter Form vorliegen und in dieser Form weiterverar- 

20 beitet, zwischengespeichert bzw. ubertragen werden. Je 
nach Erfordernis konnen aus dem Computersystem hinaus- 
gehende Daten, vorab einem inversen kryptographischen 
Verfahren unterzogen werden. 
Als besonders vorteilhaft erweist es sich, wenn das kryp- 

25 tographische Verfahren von einem Verschliisselungsclient 
auf die von einer Device her eingehenden Daten angewen- 
det wird. Als Device sind, wie in der Computertechnik iib- 
lich, alle eigenstandigen Einheiten, die mit dem Computer- 
system zusammenarbeiten, zu verstehen. Dieser Begriff um- 

30 faBt beispielsweise externe und interne Gerate wie Tastatu- 
ren, Laufwerke, Modems, Massenspeicher, Netzwerkarten 
und andere Einheiten. Durch die Anwendung des kryptogra- 
phischen Verfahrens auf die von einer Device her eingehen- 
den Daten liegen alle von den jeweiligen eigenstandigen 

35 Einheiten stammenden Daten innerhalb des Rechners nur in 
verschlusselter Form vor, so daB ein AngrifT entsprechend 
erschwert wird. Ist eine bidirektionale Kommunikation mit 
der Device erforderlich konnen zumindest die Steucrsi- 
gnale, aber auch die sonstigen Daten, je nach Erfordernis, 

40 vor dem Versand durch den Verschliisselungsclient zunachst 
einem inversen kryptographischen Verfahren unterzogen 
werden. Wie bereits ausgefuhrt, kann die Verschliisselung 
oder auch die Entschliisselung bereits in der Eingabeeinrich- 
tung oder aber auch betriebssystemseitig erfolgen. Der Ver- 

45 schlusselungsclient kann dabei beliebig schaltungstech- 
nisch, programmtechnisch oder auch als eine Kombination, 
beispielweise als Programm das auf Funktionen eines kryp- 
tographischen Co-Prozessors zugreift, realisiert sein. 
Als besonders vorteilhaft erweist es sich, wenn die von ei- 

50 ner Eingabeeinrichtung, insbesondere die von einer Tasta- 
tureinrichtung stammenden Daten erfindungsgemaB einem 
kryptographischen Verfahren unterzogen werden. Unter 
Eingabeeinrichtung sind dabei beliebige, Anwendereinga- 
ben aufnehmende Systeme zu verstehen, wie beispielsweise 

55 Touchscreens, Computermause, Fingerabdruckscanner, 
Kartenlesegerate oder ahnliches. Uber alle diese Gerate wer- 
den sicherheitsrelevante Daten, beispielsweise Zugangsco- 
des, PaBworter, Fingerabdriicke und ahnliches eingegeben, 
die mittels des erfindungsgemaBen Verfahrens vor Angriffen 

60 geschutzt werden konnen. Als Tastatureinrichtung sind 
nicht nur Tastaturen an sich, sondern auch, wie bei moder- 
nen Computertastaturen in zunehmenden MaBe iiblich, inte- 
grierte Gerate mit Touchpads, Kartenlesegerate und derglei- 
chen, zu verstehen. Gerade uber die Tastatur werden haufig 

65 sicherheitsrelevante Daten, beispielsweise in Form von PaB- 
wortern eingegeben, so daB hier SchutzmaBnahmen gegen 
Angriffe besonders vorteilhaft sind. 
Vorteilhafterweise werden die dem kryptographischen 
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Verfahren unterzogenen Daten von einem authorisierten, als Vertraulichkeit, der Datenubertragung, andererseits aber 

Gateway bezeichneten Mittel empfangen und von diesem auch groBtmogiicher Datendurchsatz der Obertragung bei 

einem inversen kryptographischen Verfahren unterzogen, so geringstmoglicher Inanspruchnahme der Betriebsmittel des 

daB die Daten wieder in ihrer Ursprungsform voriiegen. Computersystems gefordert. Auch konnen dadurch die fur 

Dieses Gateway kann je nach Erfordernis beim urspriingli- 5 andere, insbesondere bereits vorhandene und nicht auf die 

chen, ersten Computersystem, an dem die Daten eingehen, Zusamrhenarbeit mit dem Verschiusselungsclient angepaJ3te 

vorgesehen sein, oder auch bei einem zweiten, raumlich da- Anwendungen eingehenden Daten ohne Probleme von die- 

von getrennten Computersystem vorgesehen sein oder even- sen anderen Anwendungen empfangen werden. 

tuell auch auf beiden Computersystemen vorhanden sein. Bei einer besonders vorzuziehenden Ausfuhrungsweise 

Das Gateway kann dabei, wie auch der Verschiusseiung- 10 des erflndungsgemaBen Verfahrens werden die eingehenden 

schent, programmtechnisch, schaltungstechnisch oder als Daten, insbesondere die Daten einer Device, mittels vom 

Kombination aus beiden realisiert sein. In jedem Fall liegen Betriebssystem zur Verfugung gestellter Zugriffsmoglich- 

die durch das Gateway entschlusselten Daten wieder in ihrer keiten an das verschlusselnde Mittel ubertragen. Dadurch 

ursprunglichen Form vor, so daB die Daten weiterverarbeitet wird es insbesondere vereinfacht, unterschiedlichste Devi- 

werden konnen, und somit beispieisweise die Zugangsbe- 15 ces verwenden zu konnen, da die Zugriffsmoglichkeiten des 

rechtigung des Benutzers feststellt werden kann und diesem . Betriebssystems in der Regei so ausgefuhrt sind, daB keine 

der Zugang zum System oder bestimmten Systemfunktionen Abhangigkeit von der speziellen Ausfuhrungsweise der je- 

gestattet wird. Auch konnen die entschlusselten Daten an weiligen Device mehr besteht. Beispieisweise stellt das be- 

andere berechtigte Anwendungen weitergegeben werden. kannte Betriebssystem WINDOWS® der Firma MICRO- 

Es erweist sich als besonders vorteilhaft, wenn die Daten 20 SOFT® eine solche Zugriffsmoglichkeit in Form von soge- 

vor der Ubertragung zu einem zweiten Computersystem von nannten ,, Hook ,, -Funktionen zur Verfugung. Auch andere 

einem zusatzlichen Verschiusselungsrnittel einem weiteren Betriebssysteme, wie beispieisweise APPLE-OS® der Firma 

kryptographischen Verfahren unterzogen werden. Dabei ist APPLE® oder UNIX® (z. B. LINUX, Sun Solaris®, Hewlett 

es unerheblich, ob die Daten in verschiusselter Form oder in Packard-UX® usw.) stellen wirkungsahniiche Zugriffsmog- 

ihrer ursprunglichen Form, nachdem sie von einem Gate- 25 lichkeiten zur Verfugung. 

way des ersten Computersystems einem inversen kryptogra- Eine besonders vorzuziehende Ausfuhrungsweise des er- 
phischen Verfahren unterzogen wurden, vorliegen. Bei die- findungsgemaBen Verfahrens zeichnet sich dadurch aus, daB 
ser erneuten kryptographischen Verschiusseiung kann das uberpruft wird, ob auch andere Mittel, insbesondere nicht 
ursprungliche oder auch ein anderes kryptographisches Ver- autorisierte Programme wie Viren oder Trojanische Pferde, 
fahren verwendet werden. Ebenso kann ein anderer, neuer 30 auf diese Zugriffsmoglichkeiten des Betriebssystems zu- 
Schliissel zur kryptographischen Verschiusseiung benutzt greifen bzw. zuzugreifen beabsichtigen. Dadurch kann ein 
werden. Dadurch wird die Sicherung der Ubertragung si- potentieUer Angriffbemerkt werden und GegenmaBnahmen 
cherheitsrelevanter Daten zu einem anderen Computersy- konnen eingeleitet werden, wie beispieisweise der Abbruch 
stem, beispieisweise uber offene Netzwerke wie dem Inter- der Verbindung oder der Versuch, das zuzugreifende Pro- 
net, gefordert. Insbesondere kann ein starkeres, vor Angrif- 35 gramm zu beenden oder zumindest am Zugriff zu hindem. 
fen besser geschutztes kryptographisches Verfahren sowie Besonders vorzuziehen ist es, wenn eine Meldung gene- 
eine groBere Schlusseilange benutzt werden. Durch diese riert wird, und diese beispieisweise in Form einer Warnung 
Ausfuhrungsform kann beispieisweise eine gesicherte Au- an den Benutzer ausgegeben wird, daB die Sicherheit der 
thentifikation auf dem anderen Rechnersystem erfolgen, wie Datenubertragung nicht mehr gewahrieistet ist, so daB die- 
es beispieisweise bei der Genehmigung eines Zahlungsvor- 40 ser geeignete MaBnahmen, wie beispieisweise den Einsatz 
gangs beim Homebanking erforderlich ist. von Virenscannern oder eine NeuinstaUation des Betriebssy- 

Besonders vorzuziehen ist es, wenn zumindest bei der In- stems, ergreifen kann. 

itialisierung, also dem erstmaligen Aufbau der Datenuber- Eine vorteilhafte Einrichtung zur Durchfuhrung des erfin- 

tragung zwischen den beiden kommunizierenden Partnern, dungsgemaBen Verfahrens weist die Eigenschaft auf, daB sie 

also beispieisweise zwischen Gateway und Verschliissel- 45 zumindest ein erstes Mittel aufweist, welches digitale Daten 

ungsclient ein kryptographischer Schlussel, das anzuwen- zur Verfugung stellt, sowie ein zweites Mittel aufweist, das 

dende kryptographische Verfahren oder beides vereinbart die Daten einem kryptographischen Verfahren unterzieht, 

wird. Selbstverstandlich kann auch in regelmaBigen Abstan- und diese an andere Mittel des gleichen oder eines anderen 

den eine neuer Schlussel ausgehandelt werden, urn die Si- Computersystems weitergibt. Dabei ist es gleichgultig, ob 

cherheit weiter zu erhohen. Dadurch kann bei jeder Daten- 50 das zweite Mittel rein schaltungstechnisch, programmtech- 

ubertragung ein neuer Schlussel verwendet werden, so daB nisch oder als Kombination aus beidem, beispieisweise als 

Angriffsmoglichkeiten zusatzlich verringert werden. Ferner ein Programm, das auf Funktionen eines kryptographischen 

ist es moglich, die Gute der Verschiusseiung der Vertraulich- Co-Prozessors zugreift, ausgefuhrt ist. Auch ist es unerheb- 

keit der zu ubertragenden Daten anzupassen. Somit kann lich, ob das zweite Mittel mit dem ersten Mittel gemeinsam 

beispieisweise fur PaBworter eine hochsichere Datenverbin- 55 realisiert ist, beispieisweise als externes Gerat, oder ob das 

dung geschaffen werden, urn maximale VertrauUchkeit der zweite Mittel einen Teil der Einrichtung selbst darsteUt. Das 

Daten zu gewahrleisten, andererseits kann fur die Ubertra- zweite Mittel sollte moglichst unmittelbar mit dem ersten 

gung bffentLicher Daten ein geringerer Sicherheitsstandard Mittel zusammenwirken. Andererseits kann es sich als sinn- 

gewahlt werden, urn die Inanspruchnahme der Betriebsmit- voll erweisen, andere Mittel zwischen dem ersten und dem 

tei des Computersystems zu verringern und somit einen ho- 60 zweiten Mittel zuzuiassen, urn das zweite Mittel moglichst 

heren Datendurchsatz zu fordern. unabhangig von der besonderen Ausfuhrungsform des er- 

Dabei kann vorteiihafterweise das Verfahren so ausgelegt sten Mittels ausfuhren zu konnen. 

werden, daB bei tfbertragung von nicht sicherheitsreievan- Somit weisen die Einrichtungen die oben im Zusammen- 

ten Daten auf die kryptographische Verschiusseiung der Da- hang mit den Verfahren beschriebenen Vorteile ebenfalls 

ten ganzlich verzichtet wird. Eine kryptographische Ver- 65 auf. 

schiiisselung erfolgt dann nur noch bei der Ubertragung si- Vorteilhafte Weiterbildungen der Erfindung ergeben sich 

cherheitsrelevanter Daten, wie beispieisweise PaBwbrtem. aus den Unterarispruchen. 

Somit wird einerseits die nouge Sicherheit, insbesondere Im folgen ist ein Ausfuhrungsbeispiel der Erfindung dar- 
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gestellt, das im weiteren unter Bezugnahme auf die nachfol- 
gend genannten Figuren naher erlautert wird. Dabei werden 
die Bezeichnungen gemaB der Terminologie des Betriebssy- 
stems WINDOWS® der Firma MICROSOFT® verwendet. 
Ahnliche Vorrichtungen finden sich jedoch auch bei anderen 
Betriebssystemen, insbesondere bei dem Betriebssystem 
APPLE-OS® der Firma APPLE® sowie bei dem Betriebssy- 
stem UNIX® diverser Hersteller, so daB die Erfindung auch 
mit solchen Computersystemen realisierbar ist. Es zeigen: 

Fig. 1 den prinzipiellen Ablauf eines Verfahrens zurgesi- 
cherten Verarbeitung bzw. ttbertragung von Daten in sche- 
matischer Darstellung; 

Fig. 2 eine beispielhafte Ausfuhrung des Verfahrens auf 
eine Homebanking-Anwendung in schematischer Darstel- 
lung; 

Fig. 3 ein beispielhaftes Ablaufschema fur einen auf der 
vorliegenden Erfindung basierenden Verschliisselung- 
sclient; 

Fig. 4 ein beispielhaftes Ablaufschema fiir ein Empfangs- 
mittel (Gateway) der Bank fur das Ausfuhrungsbeispiel 
nach Fig. 2. 

Fig. 1 zeigt den prinzipiellen Ablauf des Verfahrens auf 
einer zur Durchfuhrung des Verfahrens geeigneten Einrich- 
tung. Die Daten 11, die von einer datenliefernden Device 
(also einer eigenstandigen Einheit) 10, beispielsweise einer 
Tastatur, herriihren, werden mit Hilfe eines Geratetreibers 
(Device Driver) 12 in ein von der Device 10 unabhangiges 
Datenformat umgewandelt, so daB die Daten 13 nunmehr in 
einer standardisierten Form vorliegen. Das Format der Da- 
ten 13 ist also das gleiche unabhangig davon, ob die Daten 
beispielsweise von einer Tastatur, einem Fingerabdrucks- 
canner, einem Touchscreen, einem Touchpad, einer Maus, 
einem Kartelesegerat oder ahnlichem herriihren. Es ist fer- 
ner von der jeweiligen konkreten Ausfuhrungsform (Bauart) 
der Device unabhangig. Die standardisierten Daten 13 wer- 
den von einem Verschlusselungsclient 14 einem kryptogra- 
phischen Verfahren unterzogen, das erfindungsgemaB belie- 
big ist. Es kann sich dabei insbesondere urn das symmetri- 
sche DES®- Verfahren oder dessen Abwandlungen, aber 
auch urn asymmetrische Public-Key-Encryption- Verfahren 
wie dem RSA®- Verfahren oder dem Diffie-Hellmann- Ver- 
fahren mit jeweils beliebiger Schlussellange handeln. Der 
Verschlusselungsclient 14 kann dabei zusatzliche Aufgaben 
iibernehmen, wie beispielsweise die tjberwachung, ob an- 
dere, nicht autorisierte Mittel wie beispielsweise Viren oder 
Trojanische Pferde, die Daten der Device lesen wollen, und 
notigenfalls eine Warnmeldung fiir den Benutzer ausgeben. 

Die urspriinglichen Daten liegen nach der Anwendung 
des kryptographischen Verfahrens in einer kryptographisch 
verschliisselten Form 15 vor und konnen in dieser Form an 
die jeweilige Anwendung 16, beispielsweise das bereits er- 
wahnte und im folgenden weiter beschriebene Gateway, 
welche sich auf dem urspriinglichen Computersystem, ei- 
nem anderen Computersystem, oder auch auf beiden Com- 
putersystemen befindet, weitergegeben werden. Diese An- 
wendung 16 kann die verschliisselten Daten nunmehr einem 
inversen kryptographischen Verfahren unterziehen, um 
diese weiterzuverarbeiten, oder um diese an andere Anwen- 
dungen weiterzureichen. Es ist auch moglich, daB die An- 
wendung 16 die Daten 15 nochmals einem kryptographi- 
schen Verfahren unterzieht, wobei dieses Verfahren so ge- 
wahlt werden kann, daB dieses hoheren Sicherheitsanforde- 
rungen geniigt, und erst dann uber ein Netzwerk an einen an- 
deren Rechner iibermittelt. 

In jedem Fall liegen die Daten im Client-Computer 110 
(Fig. 2) in kryptographisch verschlusselter Form vor, so daB 
insbesondere Angriffe auf die Vertraulichkeit der Daten 
durch unbefugte Mittel, wie beispielsweise Viren oder Tro- 



janische Pferde, deutiich erschwert werden. 

Es ist ebenso denkbar, den Verschlusselungsclient 14 be- 
reits auf die urspriinglich von der Device gelieferten Daten 
11 anzuwenden. Da diese Daten jedoch in einem Format 

5 vorliegen, welches von der jeweiligen Device abhangig ist, 
ist bei diesem Vorgehen eine Anpassung des Verschlussel- 
ungsclients 14 auf die jeweilige Device 10 erforderlich, was 
einen entsprechenden Aufwand erforderlich macht. Der 
Vorteil bei diesem Verfahren liegt in einer gegenuber dem 

10 vorherigen Verfahren, bei dem erst die Daten 13, die von ei- 
nem Geratetreiber 12 geliefert werden, dem kryptographi- 
schen Verfahren unterzogen werden, nochmals erhohter Si- 
cherheit. 

Fig. 2 zeigt die beispielhafte Anwendung des Verfahrens 

15 auf eine Homebanking-Anwendung in schematischer Dar- 
stellung. Dabei befindet sich der Benutzer an einem Client- 
Computer 110 und gibt an diesem Daten iiber ein entsprc- 
chendes Eingabegerat (Device) 120, hier eine Tastatur, ein. 
Uber ein Netzwerk 101, wobei es sich um ein Local Area 

20 Network (LAN, ein lokales Netzwerk), ein Wide Area Net- 
work (WAN, ein globales Netzwerk) oder eine Kombination 
aus beidem handeln kann, gelangen die Daten zu einen Ser- 
ver-Computer 100, welcher sich beispielsweise bei der Bank 
befindet. In dem dargestellten Ausfuhrungsbeispiel fordert 

25 der Benutzer mit einem WWW-Browser 140 (beispiels- 
weise dem "Netscape Navigator®" oder dem "Internet Ex- 
plorer®") eine WWW-Seite an, die eine cntsprechende Ein- 
gabemaske fur das Homebanking zur Verfugung stellt. 
Diese WWW-Seite startet zusatzlich ein Programm zur In- 

30 itialisierung und Durchfuhrung des gesicherten Datenverar- 
beitungs- und Ubertragungsverfahrens. Im dargestellten 
Ausfuhrungsbeispiel wird ein Java®- Applet mit einer Java®- 
Bean 143 (also ein Programmteil, das unmittelbar nach dem 
Laden ausgefuhrt wird) geladen, wodurch das Java®-Bean 

35 143 initialisiert wird. Das Java®-Bean 143 ruft wiederum 
das hier auf dem Server-Computer 100 (der nicht unbedingt 
mit dem Server, der die WWW-Seite zur Verfugung stellt 
ubereinstimmen muB) ausgefuhrtc Gateway 130 auf. Dabei 
kommuniziert das Java®-Bean 143 mit dem Gateway 130 

40 mittels einer Datenubertragung 115, 116, uber das Netzwerk 
101, wobei der DatenfluB 115 vom Java®-Bean 143 zum 
Gateway 130 iiber den Socket-Server des Java®-Beans 141 
zum Socket-Client des Gateways 132 erfolgt, der DatenfluB 
116 vom Gateway 130 zum Java®-Bean 143 dagegen uber 

45 den Socket-Server des Gateways 131 zum Socket-Client des 
Java®-Beans 142 erfolgt. 

Das Gateway erzeugt (generiert) nun einen Schliissel, 
welcher zur Durchfuhrung des anschlieBend verwendeten 
kryptographischen Verfahrens benutzl. wird. 

50 AnschlieBend ruft das Gateway 130 den Verschlusselung- 
sclient 125 auf. Die Kommunikation zwischen Gateway 130 
und Verschlusselungsclient 125 erfolgt dabei unter Benut- 
zung des Netzwerks 101 iiber den Datenstrom 117 vom Sok- 
ket-Server des Verschlusselungsclients 121 hin zum Socket- 

55 Client des Gateways 132 sowie iiber den Datenstrom 118 
vom Socket-Server des Gateways 131 hin zum Socket- 
Client des Verschlusselungsclients 122. 

Uber die Datenverbindung 117, 118 handeln Gateway 
130 und Verschlusselungsclient 125 den kryptographischen 

60 Schliissel aus, wodurch der Verschlusselungsclient 125 auf 
sicherem Wege einen Schliissel erhalt. Das verwendete 
kryptographische Verfahren sowie die Schlussellange sind 
dabei beliebig. 
Eine direkte Kommunikation des Java®-Beans 143 mit 

65 der Hook-Funktion 126, die vom Betriebssystem zur Verfu- 
gung gestellt wird, oder mit dem Verschlusselungsclient 125 
ist nicht moglich, da das Sicherheitskonzept der Program- 
miersprache Java® eine solche Kommunikation nicht zulaBt. 
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Aus diesem Grund erfolgt die Komraunikation des Java®- 
Beans 143 mit der Hook-Funktion 126 uber das das Java®- 
Bean 143 initialisierende Gateway 130 auf dem Server- 
Computer 100, von diesem aus zu einem entsprechend aus- 
gefuhrten Verschlusselungsclient 125 auf dem Client-Com- 
puter 110, der widemm auf die Hook-Funktion 126 zuzu- 
greifen vermag. 

Sobaid die Initialisierung des Verschlusselungsclient 125 
abgeschiossen ist, sendet dieser eine "Bereit"-Meldung an 
das Gateway 130, welches wiederum die "Bereif'-Meldung 
an das Java®-Bean 143 weitergibt. 

Sobaid nun bei der im WWW-Browser 140 dargesteliten 
Eingabemaske ein Feld aktiviert wird, welches eine vertrau- 
lich zu behandelnde Eingabe erfordert, hier ein PaBwort, 
wird ein "Focus "-Status auf den Wert "Verschlusseln" ge- 
setzt. Dieser "Focus "-Status wird dem Verschlusselung- 
sclient 125 vom Java®-Bean 143. uber das Gateway 130 ge- 
meldet, woraufhin dieses von der Tastatur 120 eingehende 
Daten 127 unmittelbar nach dem Geratetreiber (Device- 
Driver) 123 mit Hilfe der "Hook"-Funktion 126 abfangt und 
dem vereinbarten kryptographischen Verfahren unterzieht. 
Die an das Gateway 130 weitergeleiteten Daten 117 sind da- 
mit verschlusselt. Dabei ist die "Hook"-Funktion 126 eine 
vom Betriebssystem, in diesem Fall WINDOWS® der Firma 
MICROSOFT®, zur Verfiigung gestellte Funktion. Die ver- 
schlusselten Daten 117 werden vom hier auf dem Server- 
Computer 100 befindlichen Gateway 130 beim hier darge- 
steliten Ausfuhrungsbeispiel entschlusselt und anderen, hier 
nicht dargesteliten Anwendungen zur Verfugung gestellt. 
Zusatzlich sendet der Socket-Server des Gateways 131 uber 
den Datenstrom 116 fur jede gedriickte Taste der Tastatur 
120 ein beliebiges Zeichen an den Socket-Client des Java®- 
Beans 142. Dieses stellt, unabhangig vom empfangenen 
Zeichen, ein beliebiges Zeichen, hier einen Stern, in dem 
Datenfeld fur das einzugebende PaBwort dar, urn so eine 
Ruckkopplung an den Benutzer zu bewirken. 

Sobaid der Benutzer des Client-Computers 110 ein ande- 
res Datenfeld aufruft, oder die Eingabemaske des WWW- 
Browsers 140 verlaBt, sendet das Java®- Bean 143 uber das 
Gateway 130 den "Focus"- Status "Unverschlusselt" an den 
Verschlusselungsclient 125. 

Daraufhin schickt der Verschlusselungsclient 125 eine 
"Bereif'-Meldung an das Gateway 130, welches die "Be- 
reit"-Meldung an das Java®-Bean 143 weitergibt, und gibt 
daraufhin die Daten der Tastatur 120 unverschlusselt weiter, 
wendet also das kryptographische Verfahren nicht mehr auf 
die Daten an. 

Es ware auch denkbar, das Gateway 130 auf dem Client- 
Computer 110 auszufuhren, urn dort eine Authentifizierung 
des Benutzers durchzufuhren. Auch ware es moglich ein zu- 
satzliches, hier nicht dargestelltes Mittel auf dem Client- 
Computer 110 vorzusehen, das auf die von der Tastatur 120 
an den Server-Computer 100 gesendeten Daten 117 ein zu- 
satzliches, insbesondere ein besonders sicheres, Verschlus- 
selungs verfahren anwendet. 

In Fig. 3 ist beispielhaft ein Ablaufschema fur den Ver- 
schlusselungsclient 125 dargestellt. Eine Tastatureingabe 
127, 200 wird im dargesteliten Ausfuhrungsbeispiel vom 
Verschlusselungsclient 125 uber die "Hook ,, -Funktion 126, 
welche vom Betriebssystem bereitgestellt ist, unmittelbar 
nach Durchlaufen des Geratetreibers (Device-Driver) 123 
empfangen. Der Verschlusselungsclient pruft anhand des 
bereits beschriebenen "Focus"-Status, ob eine gesicherte 
Eingabe erforderlich ist 201 . 

Ist der "Focus"-Status "Unverschlusselt" gesetzt, also 
eine gesicherte Eingabe nicht erforderlich 205, so erfolgt 
eine unverschlusselte Standardubergabe der Daten an an- 
dere Anwendungen 206 des Server-Computers 100 und/ 
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oder Client-Computers 110, also so, als ob der Verschlussel- 
ungsclient 125 nicht vorhanden ware. Somit konnen insbe- 
sondere bereits vorhandene, nicht auf die Zusammenarbeit 
mit dem Verschlusselungsclient eingerichtete Anwendun- 
5 gen problemlos weiterverwendet werden. 

1st dagegen der "Focus"-Status "Verschlusseln" gesetzt, 
so ist eine gesicherte Eingabe erforderlich 210. Es erfolgt 
eine Priifung 211, ob ein weiteres Mittel auf die "Hook"- 
Funktion zugreift, also ob ein anderes, nicht autorisiertes 
10 Mittel wie beispielsweise ein Virus oder ein Trojanisches 
Pferd die Tastatureingabe abzufragen versucht. 

Ergibt die Priifung, daB ein weiteres Mittel auf die 
"Hook"-Funktion zugreift 220, so wird versucht, das weitere 
Mittel zu beenden 221. 
15 Sofern der Versuch, das weitere Mittel zu beenden, nicht 
erfolgreich ist 225, so ist die Sicherheit, insbesondere die 
Vertraulichkeit der eingegebenen Daten nicht mehr gewahr- 
leistet. Die Tastatureingabe kann wahlweise mit oder ohne 
Verschlusselung weitergeleitet werden 226. In jedem Fall 
20 erfolgt zusatzlich eine Warnung 227 an den Benutzer, daB 
die Datensicherheit potentiell nicht gewahrleistet ist. Vor- 
teilhafterweise wird die Tastatureingabe jedoch mit Ver- 
schlusselung weitergeleitet, da die Daten dann zumindest 
wahrend der Ubertragung uber das Netzwerk 101 geschihzt 
25 sind. 

Ist dagegen das Beenden des weiteren Mittels erfolgreich 
222, wird die Eingabe in der Folge verschlusselt 216, so als 
ob von vornherein die Abfrage 211, ob ein weiteres Mittel 
auf die "Hook"-Funktion zugreift, ergeben hatte, daB kein 
30 weiteres Mittel auf die "Hook"-Funktion zugreift 215. 

Sofern eine Verschlusselung der eingegebenen Daten 216 
erfoigen soil, wird sicherheitshalber iiberpruft, ob die Ver- 
schlusselung der Tastatureingabe tatsachlich erfolgreich ist. 
Ist die Verschlusselung nicht erfolgreich 230, erfolgt eine 
35 Weiterleitung der Tastatureingabe ohne Verschlusselung 
231 an die jeweilige Anwendung und gleichzeitig erfolgt 
eine Warnmeldung 232 an den Benutzer, daB die Sicherheit 
der Tastatureingabe 200 nicht gewahrleistet ist. 

Verlauft die Verschlusselung dagegen erfolgreich 235, so 
40 werden die Daten in verschlusselter Form an die jeweilige 
Anwendung ubergeben 236. 

Verlauft auch die Ubergabe erfolgreich 240, so ist der 
VerschlusselungsprozeB standardmaBig abgeschiossen 241 
und die Daten liegen in verschlusselter Form bei der jewei- 
45 ligen Anwendung vor, beispielsweise beim bereits beschrie- 
benen Gateway 130. 

Verlauft die Ubergabe der Daten an die jeweilige Anwen- 
dung 236 dagegen picht erfolgreich 245, so wird die Ver- 
schlusselungsfunktion beendet 246. Es kann somit eine er- 
50 neute Tastatureingabe 247 erfoigen, bei der die Daten nun- 
mehr an die jeweilige Anwendung weitergeleitet werden, 
wenn auch in unverschlusselter Form. Zusatzlich erfolgt 
wiederum eine Warnmeldung 248 an den Benutzer, daB die 
Sicherheit der Tastatureingabe 200 nicht gewahrleistet ist. 
55 In Fig. 4 ist schlieBlich fur das dargestellte Ausfuhrungs- 
beispiel einer Homebanking-Anwendung, welches auf der 
vorliegenden Erfindung basiert, das an sich bekannte Emp- 
fangs- und En tschliisselungs verfahren durch das Gateway 
130 des Server-Computers 100 bei der Bank schematisch 
60 dargestellt. Die uber das Netzwerk 101 am Dateneingang 
300 eingehenden Daten 102 werden zunachst daraufhin ge- 
priift, ob diese insbesondere durch einen Verschlusselung- 
sclient durch Anwendung eines kryptographischen Verfah- 
rens gesichert sind 301. 
65 Liegen die Daten in unverschiiisselter Form 305 vor, so 
werden diese direkt an die Zielanwendung (Zielapplikation) 
weitergegeben 315. 
Liegen die Daten dagegen in verschlusselter Form vor 
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310, wurden also diese vom Verschlusselungsclient 125 er- 
folgreich in verschlusselter Form ubergeben 240, so wird 
zunachst ein Mittel zur Entschliisselung der verschlusselten 
Daten aufgerufen 311, welches ein entsprechendes inverses 
kryptographisches Verfahren auf die eingegangenen Daten 5 
anwendet 312. Die dann in infer ursprtinglichen Form vor- 
liegenden Daten werden schlieBlich an die Zielanwendung 
(Zielapplikation) weitergegeben 315. 

PatentansprUche 10 

1. Verfahren zur gesicherten Verarbeitung und/oder 
Ubertragung von digitalen Daten, insbesondere bei 
vemetzten Computersystemen, dadurch gekennzeich- 
net, daB in zumindest ein Computersystem eingehende 15 
Daten vor der Weiterbenutzung innerhalb des Compu- 
tcrsystems einem kryptographischen Verfahren unter- 
zogen werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB die Daten zumindest einer Device von einem 20 
als Verschlusselungsclient wirkenden Mittel dem kryp- 
tographischen Verfahren unterzogen werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB die Daten einer Eingabeeinrichtung, ins- 
besondere einer Tastatureinrichtung, von einem als 25 
Verschlusselungsclient wirkenden Mittel dem krypto- 
graphischen Verfahren unterzogen werden. 

4. Verfahren nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet, daB die Daten von zu- 
mindest einem als Gateway wirkenden Mittel eines der 30 
beteiligten Computersysteme empfangen werden und 
von diesem einem inversen kryptographischen Verfah- 
ren unterzogen werden. 

5. Verfahren nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet, daB die Daten vor der 35 
Ubertragung zu einem zweiten Computersystem von 
einem zusatzlichen Verschlusselungsmittel des ersten 
Computersystems einem weiteren kryptographischen 
Verfahren unterzogen werden. 

6. Verfahren nach einem der vorangehenden Ansprii- 40 
che, dadurch gekennzeichnet, daB zumindest bei der 
Initialisierung der Datenubertragung ein Schliissel und/ 
oder das anzuwendende kryptographische Verfahren, 
insbesondere zwischen Verschlusselungsclient und 
dem Gateway, zwischen Verschlusselungsclient und ei- 45 
nem zusatzlichem Verschlusselungsmittel und/oder 
zwischen zusatzlichem Verschlusselungsmittel und 
Gateway vereinbart wird. 

7. Verfahren nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet, daB das kryptographi- 50 
sche Verfahren nur bei der Ubertragung bestimmter, 
insbesondere sicherheitsrelevanter Daten angewandt 
wird. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzeichnet, daB die eingehenden Daten mit- 55 
tels vom Betriebssystem zur Verfugung gestellter Zu- 
griffsmoglichkeiten an das als Verschliisselungsclient 
wirkende verschlusselnde Mittel ubertragen werden. 

9. Verfahren nach einem der vorangehenden Ansprii- 
che, insbesondere nach Anspruch 8, dadurch gekenn- 60 
zeichnet, daB uberpriift wird, ob ein anderes Mittel, ins- 
besondere ein nicht autorisiertes Programm, auf die 
vom Betriebssystem zur Verfugung gestellte Zugriffs- 
moglichkeit zugreift beziehungsweise zuzugreifen be- 
absichtigt. 65 

10. Verfahren nach Anspruch 9, dadurch gekennzeich- 
net, daB eine Meldung generiert wird, wenn ein anderes 
Mittel auf die vom Betriebssystem zur Verfugung ge- 
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stellte Zugriffsmoglichkeit zugreift beziehungsweise 
zuzugreifen beabsichtigt. 

11. Einrichtung mit mindestens einer Recheneinheit, 
die derart eingerichtet ist, daB das Verfahren nach ei- 
nem der Anspriiche 1 bis 10 durchfuhrbar ist. 

12. Einrichtung zur gesicherten Verarbeitung und/oder 
Ubertragung von digitalen Daten, insbesondere bei 
vemetzten Computersystemen, das mindestens fol- 
gende Mittel umfaBt: 

ein erstes Mittel, das digitale Daten zur Verfugung 
stellt, 

ein zweites Mittel, das die Daten einem kryptographi- 
schen Verfahren unterzieht, und an andere Mittel uber- 
mittelt. 

13. Einrichtung nach Anspruch 12, dadurch gekenn- 
zeichnet, daB zumindest eine Device als erstes Mittel 
vorgesehen ist. 

14. Einrichtung nach Anspruch 12 oder 13, dadurch 
gekennzeichnet, daB eine Eingabeeinrichtung, insbe- 
sondere eine Tastatureinrichtung als erstes Mittel vor- 
gesehen ist. 

15. Einrichtung nach einem der Anspriiche 12 bis 14, 
dadurch gekennzeichnet, daB zumindest ein drittes 
Mittel vorgesehen ist, das die Daten des zweiten Mit- 
tels einem inversen kryptographischen Verfahren un- 
terzieht, 

16. Einrichtung nach einem der Anspriiche 12 bis 15, 
dadurch gekennzeichnet, daB zumindest ein viertes 
Mittel vorgesehen ist, das die Daten des zweiten und/ 
oder dritten Mittels einem weiteren kryptographischen 
Verfahren unerzieht. 

17. Einrichtung nach einem der Anspriiche 12 bis 16, 
dadurch gekennzeichnet, daB das zweite und/oder 
dritte und/oder vierte Mittel so ausgefuhrt sind, daB zu- 
mindest bei Initialisierung der Datenubertragung zwi- 
schen dem zweitem Mittel und dem drittem Mittel oder 
einem zweiten Computersystem, beziehungsweise dem 
vierten Mittel und dem zweiten Computersystem ein 
Schlussel und/oder das anzuwendende kryptographi- 
sche Verfahren vereinbart wird. 

18. Einrichtung nach einem der Anspriiche 12 bis 17, 
dadurch gekennzeichnet, daB das zweite und/oder 
dritte und/oder vierte Mittel so ausgefuhrt ist, daB das 
kryptographische Verfahren nur bei der Ubertragung 
bestimmter, insbesondere sicherheitsrelevanter Daten 
angewandt wird. 

19. Einrichtung nach einem der Anspriiche 12 bis 18, 
insbesondere nach Anspruch 18, dadurch gekennzeich- 
net, daB das zweite Mittel so ausgefuhrt ist, daB es mit 
geeigneten, vom Betriebssystem der Einrichtung zur 
Verfugung gestellten Zugriffsmoglichkeiten zusam- 
menwirkt. 

20. Einrichtung nach einem der Anspriiche 12 bis 19, 
dadurch gekennzeichnet, daB das zweite Mittel so aus- 
gefuhrt ist, daB es erkennt, wenn andere Mittel, insbe- 
sondere nichtautorisierte Programme, auf die Zugriffs- 
moglichkeiten des Betriebssystems der Einrichtung zu- 
greifen beziehungsweise zuzugreifen beabsichtigen. 

21. Einrichtung nach Anspruch 19, dadurch gekenn- 
zeichnet, daB das zweite Mittel so ausgefuhrt ist, daB es 
eine Warnung ausgibt, wenn es erkennt, daB andere 
Mittel auf die Zugriffsmoglichkeiten des Betriebssy- 
stems der Einrichtung zugreifen beziehungsweise zu- 
zugreifen beabsichtigen. 

22. Computerprogramrnprodukt, das direkt in den in- 
ternen Speicher eines digitalen Computers geladen 
werden kann und Softwarecodeabschnitte umfaBt, mit 
denen die Schritte gemaB einem der Anspriiche 1 bis 10 
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ausgefuhrt werden, wenn das Produkt auf einem Com- 
puter lauft. 

23. Computerprogrammprodukt, das auf einem com- 
putergeeigneten Medium gespeichert ist und computer- 
lesbare Programmittei gemaB einem der Anspruche 11 5 
bis 21 umfaBt. 
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